Problème virus win 32 : sirefef-JQ

tsubasa28 Messages postés 70 Statut Membre -  
 Utilisateur anonyme -
Bonsoir,

Je me permets de vous demander un coup de main car il semble que mon ordinateur portable soit infecté par ce fichu. En début d'après midi j'ai été infecté par un virus win 7 internet security 2012. Je pense m'en être débarassé en télechargeant rogkiller en mode sans échec car depuis plus aucune fenêtre à ce nom et m'informant que mon ordinateur serait infecté n'apparait. J'ai reinstallé un anti virus (avast) me rendant compte que norton n'était plus active (fin de la période d'essai) après avoir desinstallé ce dernier. j'ai lancé un scan avec malwarabite, un scan avec avast, plusieurs fichiers ont été mis en quarantaine. Mon ordinateur fonctionne normalement mais j'ai constemment une fenêtre d'avast qui s'ouvre m'informant que avast vient de bloquer une attaque de win 32 : sirefef-JQ et ce meme si je suis pas connecté au net

Je viens de faire un scan avec ZHPdiag dont voici le rapport, quelqu'un pourrait me dire si il y a un problème et si malheureusement c'est le cas comment y remedier.

Merci d'avance à tout ceux qui m'accorderont de leur pour m'aider et bonne soirée à tous

45 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection par un faux antivirus, Win 7 Internet Security 2012, est détectée sur Windows 7 et nécessite des outils de nettoyage comme RogueKiller, ZHPDiag et TDSSKiller pour identifier et supprimer les traces.
Plusieurs scans et suppressions ont été réalisés avec des outils de nettoyage, des fichiers et registres ont été nettoyés, et Avast signale des blocages d'attaques même hors connexion récemment.
Des échanges demandent des explications sur le rapport et sur la suppression potentielle de menaces comme ZeroAccess, avec des instructions sur la vérification de clés Windows et l'exécution en mode administrateur.
La démarche suggère d'utiliser RogueKiller et de consulter les rapports RKreport et ZHPDiag pour mesurer l'étendue de l'infection et déterminer les actions suivantes sans conclure sur l'état final.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonsoir

    * Télécharger sur le bureau RogueKiller(par Tigzy)
    * Quitter tous les programmes en cours
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Sinon lancer simplement RogueKiller.exe
    * Lorsque demandé, taper 1 et valider
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
    * Si le programme a été bloqué, ne pas hésiter a essayé plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

    @+
    0
  2. tsubasa28 Messages postés 70 Statut Membre
     
    Voila le rapport,

    RogueKiller V6.2.3 [09/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: BEN [Droits d'admin]
    Mode: Recherche -- Date : 11/01/2012 23:14:35

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 123a4fdaabdd6a429ead3165e7f91674
    [BSP] b1fd5ba1771963f3e01ed96537151e16 : Windows 7 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 208 Mo
    1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 409600 | Size: 624703 Mo
    2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 1220534272 | Size: 15112 Mo
    3 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 1250050048 | Size: 108 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  3. Utilisateur anonyme
     
    Re

    Avast t'indique le fichier ou programme d'où l'attaque provient.

    Merci de me le préciser.

    @+
    0
  4. tsubasa28 Messages postés 70 Statut Membre
     
    Re

    Il me semble que oui. Je te donne le nom dès l'icone réapparait
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. tsubasa28 Messages postés 70 Statut Membre
     
    Apparement au niveau de processus il m'indique :

    C//:windows/system32.svchost.exe
    0
  7. Utilisateur anonyme
     
    Re

    Ok;merci

    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Ou ici : https://forospyware.com
    >Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
    -> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    - Installe le console de récupération comme demandé ;utile en cas de plantage

    - Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)

    ::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

    @+
    0
  8. tsubasa28 Messages postés 70 Statut Membre
     
    RE

    Je dois effectuer la manipe en mode normal ou sans echec ?

    merci
    0
    1. Utilisateur anonyme
       
      normal si cela fonctionne ;-)
      0
  9. tsubasa28 Messages postés 70 Statut Membre
     
    Bon

    je ne suis pas très doué lol. Comment je fais pour desactiver la protection en temps réel de mon antivirus (avast) s'il te plait ?
    0
  10. tsubasa28 Messages postés 70 Statut Membre
     
    bonjour,

    Hier dans la nuit, j'ai fini par réussi à lancer conbofix mais en mode sans echec, en normal pas moyen. Par contre, une fois l'ordi relancé, je n'obtient pas de rapport.

    Mon ordi marche toujours très bien mais de temps en temps une fenetre avast s'ouvre m'indiquant qu'une attaque de ce virus a été bloqué. Je commence a demander si il ne s'agit pas d'un faux positif.
    0
  11. tsubasa28 Messages postés 70 Statut Membre
     
    Re

    Apparemment je suis infecté par zeroaccess
    Quelqu'un peut m'expliquer la marche à suivre pour m'en débarasser

    Merci d'avance
    0
  12. Utilisateur anonyme
     
    Bonsoir

    Le rapport est là: C:\Combofix.txt

    Poste le moi;merci.

    @+
    0
  13. tsubasa28 Messages postés 70 Statut Membre
     
    Bonsoir,

    Voila le rapport Combofix :

    ComboFix 12-01-12.04 - BEN 12/01/2012 21:56:27.4.2 - x64
    Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3835.2158 [GMT 1:00]
    Lancé depuis: c:\users\BEN\Desktop\Tsubasa.exe
    AV: Norton Internet Security *Disabled/Outdated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
    FW: Norton Internet Security *Disabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}
    SP: Norton Internet Security *Disabled/Outdated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\programdata\TEMP
    c:\programdata\TEMP\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\PostBuild.exe
    c:\programdata\TEMP\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}\PostBuild.exe
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-12-12 au 2012-01-12 ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-01-12 20:46 . 2012-01-12 20:46 -------- d-----w- c:\program files\CCleaner
    2012-01-12 18:47 . 2012-01-12 18:47 -------- d-----w- C:\HP_TOOLS_mountHPSF
    2012-01-12 15:30 . 2012-01-12 15:35 -------- d-----w- C:\Kill'em
    2012-01-12 10:42 . 2012-01-12 10:42 -------- d-----w- C:\Tsubasa
    2012-01-11 22:54 . 2012-01-11 23:01 -------- d-----w- C:\ComboFix
    2012-01-11 21:28 . 2012-01-12 20:02 -------- d-----w- C:\ZHP
    2012-01-11 21:28 . 2012-01-12 20:02 -------- d-----w- c:\program files (x86)\ZHPDiag
    2012-01-11 21:13 . 2012-01-12 13:26 -------- d-----w- C:\tdsskiller
    2012-01-11 15:43 . 2012-01-11 15:47 -------- d-----w- c:\program files (x86)\Google
    2012-01-11 15:43 . 2011-11-28 17:53 304472 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2012-01-11 15:43 . 2011-11-28 17:52 42328 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2012-01-11 15:43 . 2011-11-28 17:52 58712 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2012-01-11 15:43 . 2011-11-28 17:51 24408 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2012-01-11 15:43 . 2011-11-28 18:01 256960 ----a-w- c:\windows\system32\aswBoot.exe
    2012-01-11 15:43 . 2011-11-28 17:54 591192 ----a-w- c:\windows\system32\drivers\aswSnx.sys
    2012-01-11 15:43 . 2011-11-28 17:52 66904 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
    2012-01-11 15:43 . 2011-11-28 18:01 41184 ----a-w- c:\windows\avastSS.scr
    2012-01-11 15:43 . 2011-11-28 18:01 199816 ----a-w- c:\windows\SysWow64\aswBoot.exe
    2012-01-11 15:43 . 2012-01-13 02:38 -------- d-----w- c:\program files\AVAST Software
    2012-01-11 14:24 . 2012-01-11 14:24 -------- d-sh--w- c:\windows\system32\%APPDATA%
    2012-01-11 12:51 . 2011-10-26 05:25 1572864 ----a-w- c:\windows\system32\quartz.dll
    2012-01-11 12:51 . 2011-10-26 05:25 366592 ----a-w- c:\windows\system32\qdvd.dll
    2012-01-11 12:51 . 2011-10-26 04:32 514560 ----a-w- c:\windows\SysWow64\qdvd.dll
    2012-01-11 12:51 . 2011-10-26 04:32 1328128 ----a-w- c:\windows\SysWow64\quartz.dll
    2012-01-11 12:51 . 2011-11-17 06:41 1731920 ----a-w- c:\windows\system32\ntdll.dll
    2012-01-11 12:51 . 2011-11-17 05:38 1292080 ----a-w- c:\windows\SysWow64\ntdll.dll
    2012-01-11 12:51 . 2011-11-19 14:58 77312 ----a-w- c:\windows\system32\packager.dll
    2012-01-11 12:51 . 2011-11-19 14:01 67072 ----a-w- c:\windows\SysWow64\packager.dll
    2012-01-10 10:32 . 2012-01-10 10:32 -------- d-----w- c:\windows\system32\Macromed
    2011-12-16 11:48 . 2011-12-16 11:48 -------- d-----w- c:\program files (x86)\Common Files\Telespree
    2011-12-15 22:53 . 2011-12-15 22:53 -------- d-----w- C:\TVO
    2011-12-15 09:15 . 2011-10-26 05:21 43520 ----a-w- c:\windows\system32\csrsrv.dll
    2011-12-15 09:10 . 2011-11-24 04:52 3145216 ----a-w- c:\windows\system32\win32k.sys
    2011-12-15 09:10 . 2011-10-15 06:31 723456 ----a-w- c:\windows\system32\EncDec.dll
    2011-12-15 09:10 . 2011-10-15 05:38 534528 ----a-w- c:\windows\SysWow64\EncDec.dll
    2011-12-15 09:09 . 2011-11-05 05:32 2048 ----a-w- c:\windows\system32\tzres.dll
    2011-12-15 09:09 . 2011-11-05 04:26 2048 ----a-w- c:\windows\SysWow64\tzres.dll
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-12-10 14:24 . 2011-10-28 10:29 23152 ----a-w- c:\windows\system32\drivers\mbam.sys
    2011-12-08 12:28 . 2011-12-11 00:05 311296 ----a-w- c:\windows\SysWow64\TubeFinder.exe
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{364d4e0c-543f-4b85-abe3-19551139da4f}"= "c:\program files (x86)\Softonic_France\tbSoft.dll" [2009-10-27 2325528]
    .
    [HKEY_CLASSES_ROOT\clsid\{364d4e0c-543f-4b85-abe3-19551139da4f}]
    .
    [HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{364d4e0c-543f-4b85-abe3-19551139da4f}]
    2009-10-27 10:45 2325528 ----a-w- c:\program files (x86)\Softonic_France\tbSoft.dll
    .
    [HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{ef79f67a-6ad7-4715-a0f8-932fca442023}]
    2011-05-09 09:49 176936 ----a-w- c:\program files (x86)\BittorrentBar_FR\prxtbBitt.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
    "{ef79f67a-6ad7-4715-a0f8-932fca442023}"= "c:\program files (x86)\BittorrentBar_FR\prxtbBitt.dll" [2011-05-09 176936]
    "{364d4e0c-543f-4b85-abe3-19551139da4f}"= "c:\program files (x86)\Softonic_France\tbSoft.dll" [2009-10-27 2325528]
    .
    [HKEY_CLASSES_ROOT\clsid\{ef79f67a-6ad7-4715-a0f8-932fca442023}]
    .
    [HKEY_CLASSES_ROOT\clsid\{364d4e0c-543f-4b85-abe3-19551139da4f}]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-02-28 336384]
    "HP Quick Launch"="c:\program files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe" [2011-03-30 586808]
    "Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2011-03-16 61112]
    "HPOSD"="c:\program files (x86)\Hewlett-Packard\HP On Screen Display\HPOSD.exe" [2011-03-30 319544]
    "HPConnectionManager"="c:\program files (x86)\Hewlett-Packard\HP Connection Manager\HPCMDelayStart.exe" [2011-06-14 103992]
    "avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-11-28 3744552]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "EnableShellExecuteHooks"= 1 (0x1)
    .
    [hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\progra~2\SEARCH~1\SEARCH~1\datamngr.dll c:\progra~2\SEARCH~1\SEARCH~1\IEBHO.dll
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
    "mixer"=wdmaud.drv
    .
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
    .
    R1 aswSnx;aswSnx; [x]
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
    R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-01-11 136176]
    R2 HP Support Assistant Service;HP Support Assistant Service;c:\program files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-06-21 85560]
    R3 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-03-01 183560]
    R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [x]
    R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-01-11 136176]
    R3 hpCMSrv;HP Connection Manager 4 Service;c:\program files (x86)\Hewlett-Packard\HP Connection Manager\hpCMSrv.exe [2011-06-14 1098296]
    R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
    R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [x]
    R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [x]
    R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [x]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
    R3 TsUsbGD;%TsUsbGD.DeviceDesc.Generic%;c:\windows\system32\drivers\TsUsbGD.sys [x]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
    R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
    S0 amd_sata;amd_sata;c:\windows\system32\DRIVERS\amd_sata.sys [x]
    S0 amd_xata;amd_xata;c:\windows\system32\DRIVERS\amd_xata.sys [x]
    S1 aswSP;aswSP; [x]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
    S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
    S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-02-28 354304]
    S2 AMD Reservation Manager;AMD Reservation Manager;c:\program files\ATI Technologies\ATI.ACE\Reservation Manager\AMD Reservation Manager.exe [2010-06-17 194496]
    S2 aswFsBlk;aswFsBlk; [x]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
    S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-10-20 821664]
    S2 HPClientSvc;HP Client Services;c:\program files\Hewlett-Packard\HP Client Services\HPClientServices.exe [2010-10-11 346168]
    S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-09-01 227896]
    S2 HPWMISVC;HPWMISVC;c:\program files (x86)\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe [2011-03-30 26680]
    S2 IconMan_R;IconMan_R;c:\program files (x86)\Realtek\Realtek PCIE Card Reader\RIconMan.exe [2011-01-14 1751656]
    S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2010-09-14 508264]
    S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [x]
    S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
    S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
    S3 clwvd;CyberLink WebCam Virtual Driver;c:\windows\system32\DRIVERS\clwvd.sys [x]
    S3 RSPCIESTOR;Realtek PCIE CardReader Driver;c:\windows\system32\DRIVERS\RtsPStor.sys [x]
    S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
    S3 RTL8192Ce;Realtek Wireless LAN 802.11n PCI-E NIC Driver;c:\windows\system32\DRIVERS\rtl8192Ce.sys [x]
    S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [x]
    S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [x]
    S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [x]
    S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [x]
    S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2010-09-14 219496]
    S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [x]
    .
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2012-01-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-01-11 15:43]
    .
    2012-01-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-01-11 15:43]
    .
    2012-01-07 c:\windows\Tasks\HPCeeScheduleForBEN-HP$.job
    - c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-09-13 20:15]
    .
    2012-01-07 c:\windows\Tasks\HPCeeScheduleForBEN.job
    - c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-09-13 20:15]
    .
    .
    --------- x86-64 -----------
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
    @="{472083B0-C522-11CF-8763-00608CC02F24}"
    [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
    2011-11-28 18:01 134384 ----a-w- c:\program files\AVAST Software\Avast\ashShA64.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SynTPEnh"="c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe" [BU]
    "SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2010-12-17 525312]
    "combofix"="c:\tsubasa16211t\CF31903.3XE" [2010-11-21 345088]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "LoadAppInit_DLLs"=0x1
    "AppInit_DLLs"=c:\progra~2\SEARCH~1\SEARCH~1\x64\datamngr.dll c:\progra~2\SEARCH~1\SEARCH~1\x64\IEBHO.dll
    .
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    Cam5607
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.com/
    uLocal Page = c:\windows\SysWOW64\blank.htm
    mLocal Page = c:\windows\SysWOW64\blank.htm
    uInternet Settings,ProxyOverride = *.local
    IE: {{A95fe080-8f5d-11d2-a20b-00aa003c157a} - res://c:\program files (x86)\Evernote\Evernote\EvernoteIE.dll/204
    LSP: mswsock.dll
    TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    Toolbar-10 - (no file)
    Toolbar-10 - (no file)
    WebBrowser-{EF79F67A-6AD7-4715-A0F8-932FCA442023} - (no file)
    WebBrowser-{09B445AE-2345-4FCA-85AE-FB3626ECEBDD} - (no file)
    WebBrowser-{364D4E0C-543F-4B85-ABE3-19551139DA4F} - (no file)
    AddRemove-{2FA94A64-C84E-49d1-97DD-7BF06C7BBFB2}.WildTangent Games App - c:\program files (x86)\WildTangent Games\App\Uninstall.exe
    AddRemove-{70B446D1-E03B-4ab0-9B3C-0832142C9AA8}.WildTangent Games App-hp - c:\program files (x86)\WildTangent Games\Touchpoints\hp\Uninstall.exe
    .
    .
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\SysWOW64\ezSharedSvcHost.exe
    c:\program files (x86)\Microsoft\BingBar\SeaPort.EXE
    c:\program files (x86)\CyberLink\YouCam\YCMMirage.exe
    .
    **************************************************************************
    .
    Heure de fin: 2012-01-12 22:11:52 - La machine a redémarré
    ComboFix-quarantined-files.txt 2012-01-12 21:11
    ComboFix2.txt 2012-01-12 16:19
    .
    Avant-CF: 528 293 900 288 octets libres
    Après-CF: 527 912 091 648 octets libres
    .
    - - End Of File - - 0DA859EBEAC4ED77A61701ACEC85382B
    0
  14. tsubasa28 Messages postés 70 Statut Membre
     
    Rebonsoir,

    Je me permets de remonter le sujet au risque de paraitre impatient. Quelqu'un pourrait m'expliquer ce rapport s'il vous plait et vu que mon ordi est toujours infecté par zeroaccess, comment le supprimer.

    Merci d'avance.
    0
  15. tsubasa28 Messages postés 70 Statut Membre
     
    Bonjour,

    Mon ordi semble de plus en infecté. J'ai maintenant beaucoup de mal à lancer windows en mode normal. J'ai du faire une restauration pour pouvoir démarer. De plus, durant plusieurs, le bureau se fige.

    Merci à celui ou celle qui prendra de son temps pour m'aider
    0
  16. tsubasa28 Messages postés 70 Statut Membre
     
    Re

    Est ce qu'à votre avis, je devrais supprimer le fichier sys32\consrv.dll qui contient zeroaccess

    merci
    0
  17. Utilisateur anonyme
     
    Bonjour

    Je vois que tu cherches à te débrouiller seul.
    Et que tu fais tout et n'importe quoi.

    Tu as restauré avant l'infection?

    @+
    0
  18. tsubasa28 Messages postés 70 Statut Membre
     
    Bonjour,

    Non malheureusement je n'ai pas trouvé de date de restauration avant l'infection. En fait j'ai fouillé un peu sur le forum pour essayer de trouver des sujets ressemblant à mon problème et c'est vrai que je suis parti dans tout les sens.

    Si ca ne te dérange pas, ton aide vraiment la bienvenue*

    Merci d'avance
    0
  19. Utilisateur anonyme
     
    Re

    Ok ;on commence par supprimer tous les outils employés

    Télécharge DelFix de Xplode

    * Lance le.
    * A l'invite, [Suppression]
    * Un rapport va s'ouvrir à la fin, colle le dans la réponse

    Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]

    @+
    0
  20. tsubasa28 Messages postés 70 Statut Membre
     
    Voila le rapport

    # DelFix v8.7 - Rapport créé le 13/01/2012 à 13:40:11
    # Mis à jour le 01/12/11 à 20h par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : BEN - BEN-HP (Administrateur)
    # Exécuté depuis : C:\Users\BEN\Desktop\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossiers(s) ~~~~~~

    Supprimé : C:\Qoobox
    Supprimé : C:\TDSSKiller
    Supprimé : C:\Kill'em
    Supprimé : C:\Combofix
    Supprimé : C:\ZHP
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
    Supprimé : C:\Users\BEN\Desktop\RK_Quarantine
    Supprimé : C:\Program Files (x86)\ZHPDiag

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\Users\BEN\Desktop\Tsubasa.exe <-- Combofix
    Supprimé : C:\AdwCleaner[S1].txt
    Supprimé : C:\ComboFix.txt
    Supprimé : C:\TDSSKiller.2.7.0.0_11.01.2012_22.14.12_log.txt
    Supprimé : C:\TDSSKiller.2.7.0.0_12.01.2012_12.09.12_log.txt
    Supprimé : C:\TDSSKiller.2.7.0.0_12.01.2012_14.26.08_log.txt
    Supprimé : C:\TDSSKiller.2.7.0.0_12.01.2012_18.57.43_log.txt
    Supprimé : C:\TDSSKiller.2.7.0.0_12.01.2012_19.02.18_log.txt
    Supprimé : C:\Users\BEN\Desktop\adwcleaner.exe
    Supprimé : C:\Users\BEN\Desktop\aswMBR.exe
    Supprimé : C:\Users\BEN\Desktop\aswMBR.txt
    Supprimé : C:\Users\BEN\Desktop\aswMBR.zip
    Supprimé : C:\Users\BEN\Desktop\OTL.exe
    Supprimé : C:\Users\BEN\Desktop\Pre_scan.exe
    Supprimé : C:\Users\BEN\Desktop\Pre_Scan_13_01_2012_00_41_17.txt
    Supprimé : C:\Users\BEN\Desktop\RKreport[1].txt
    Supprimé : C:\Users\BEN\Desktop\RKreport[2].txt
    Supprimé : C:\Users\BEN\Desktop\RKreport[3].txt
    Supprimé : C:\Users\BEN\Desktop\RKreport[4].txt
    Supprimé : C:\Users\BEN\Desktop\RKreport[5].txt
    Supprimé : C:\Users\BEN\Desktop\RKreport[6].txt
    Supprimé : C:\Users\BEN\Desktop\RKreport[7].txt
    Supprimé : C:\Users\BEN\Desktop\RKreport[8].txt
    Supprimé : C:\Users\BEN\Desktop\RogueKiller.exe
    Supprimé : C:\Users\BEN\Desktop\tdsskiller.zip
    Supprimé : C:\Users\BEN\Desktop\ZHPDiag.txt
    Supprimé : C:\Users\BEN\Desktop\ZHPFixReport.txt
    Supprimé : C:\Users\BEN\Downloads\aswMBR.exe
    Supprimé : C:\Users\BEN\Downloads\CasinoTitanFr.exe
    Supprimé : C:\Users\BEN\Downloads\Load_tdsskiller (1).exe
    Supprimé : C:\Users\BEN\Downloads\Load_tdsskiller.exe
    Supprimé : C:\Users\BEN\Downloads\Zeb-Restore.zip
    Supprimé : C:\Users\BEN\Downloads\ZHPDiag2.exe
    Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
    Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
    Supprimé : C:\Windows\grep.exe
    Supprimé : C:\Windows\NIRCMD.exe
    Supprimé : C:\Windows\MBR.exe
    Supprimé : C:\Windows\SED.exe
    Supprimé : C:\Windows\SWREG.exe
    Supprimé : C:\Windows\SWSC.exe
    Supprimé : C:\Windows\SWXCACLS.exe
    Supprimé : C:\Windows\Zip.exe

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\console_combofixbackup
    Clé Supprimée : HKCU\Software\g3n-h@ckm@n
    Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
    Clé Supprimée : HKLM\SOFTWARE\Swearware
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
    Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
    Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
    Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
    Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys
    Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWMBR

    ~~~~~~ Autres ~~~~~~

    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [3566 octets] - [13/01/2012 13:40:11]

    ########## EOF - C:\DelFix[S1].txt - [3690 octets] #
    0
  21. Utilisateur anonyme
     
    Re

    * Télécharger sur le bureau RogueKiller(par Tigzy)
    * Quitter tous les programmes en cours
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Sinon lancer simplement RogueKiller.exe
    * Lorsque demandé, taper 1 et valider
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
    * Si le programme a été bloqué, ne pas hésiter a essayé plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

    @+
    0
  • 1
  • 2
  • 3